二、SOC建设中的三个发展维度

    SOC是安全技术“大集成”过程中产生的，最初是为了解决安全设备的管理与海量安全事件的集中分析而开发的平台，后来由于安全涉及的方面较多，SOC逐渐演化成所有与安全相关的问题集中处理中心：设备管理、配置下发、统一认证、事件分析、安全评估、策略优化、应急反应、行为审计等等。能把全部安全的信息综合分析，统一的策略调度当然是理想的，但是SOC要管理的事如此之多，实现就是大难题。基于不同的理解，市场出现的各种SOC也各取所长，有风险评估为基础的TSOC，有策略管理的NSOC，有审计为主的ASOC，还有干脆是安全日志分析为主的专用平台……

    各种SOC特点各异，但都是围绕安全管理的过程来进行的，对应了安全事件管理的事前、事中、事后三个阶段，事前重点是防护措施的部署，排兵布阵；事中是安全的监控与应急响应，对于可以预知的危险可以防护，但对于未知的危险只能是监控，先发现再想办法解决；事后是对安全事件的分析与取证，对于监控中没有报警的事件的事后分析。由此SOC的功能发展就延伸为下面三个维度：

    安全防护管理：负责安全网络设备的管理与基础安全体系的运营。是安全事件出现前的各种防护管理，其鲜明的特征就是制定的各种安全策略并下发到相关的安全设备。

    监控与应急调度中心：对安全事件综合分析，根据威胁程度进行预警，并对各种事件做出及时的应对反应。

    审计管理平台：事件的取证与重现、安全合规性审计、数据的统计分析、历史数据的挖掘。安全的审计安全管理的事后“总结”，也是安全防护的依据。

    安全服务贯穿于三个维度中，防护的策略需要对安全先整体评估，预警应急需要安全专家的分析与办法……SOC的三个发展方向实现的功能需求是可以独立的，但其所需的信息来源基本是一样的，都是从设备的安全日志与链路的数据分析得来，SOC建设好比是一个根上开出的三束花。

    启明星辰推出的泰合信息安全运营中心(TSOC)就是按照三维发展思路开发的，TSOC以资产的安全评估为核心，重点是安全设备日志、事件的综合分析，故障的定位，并评估威胁的级别报警，它分为五个中心：漏洞评估中心、网管中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。有了对网络资产的安全状况的全面了解，基于安全域防护的理论，进行防护管理的扩展，与统一认证、数字签名等安全基础策略相关联，建立基于客户业务的安全管理策略，并落实到具体的安全设备配置策略，包括应用层、网络层等多方面的防护。有了监控的信息收集平台，信息是完整的，审计平台的建设也方便很多。

    安全管理的关键是考虑全面，遗漏本身就会给系统带来不安全的因素，所以SOC的三个维度建设应该是相辅相成的，单独的哪一个方面都不可能替代其他方面的功能，三个方面相结合，覆盖安全事件的前、中、后整个周期，才可以全面保障客户业务的安全。